解读《密码法》:商用密码检测认证问答

问:商用密码标准具备什么样的法律效力?
答:《密码法》第二十四条规定:商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。
商用密码从业单位开展商用密码活动应当依照有关法律、行政法规的规定行使权利和履行义务,是遵守法律的必然要求。商用密码从业单位开展商用密码活动,除了遵守法律、行政法规,还应当符合商用密码强制性国家标准以及该从业单位公开标准的技术要求。此外,国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准。

 


问:建设商用密码检测认证体系的意义是什么?
答:商用密码检测认证是商用密码治理体系的重要基础,在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用:面向商用密码从业单位能够引导提质升级,增加市场有效供给;面向管理部门能够支持行政监管,提高市场监管效能;面向社会各方能够推动诚信建设,营造良好市场环境;面向国际市场能够促进规则对接,提升市场开放程度。

《密码法》第二十五条第一款明确提出推进商用密码检测认证体系建设,这是深化商用密码行政审批制度改革的重要内容,是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。同时《密码法》第二十五条还明确了在商用密码检测认证中,自愿检测认证是主要方式。

 


问:我国商用密码检测机构和认证机构现状如何?
答:截至2019年12月,通过审批的商用密码产品检测机构共有3家,开展了智能密码钥匙、智能IC卡、POS密码应用系统、PCI-E密码卡、IPSecVPN安全网关、SSLVPN安全网关、安全认证网关、密码键盘、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、安全门禁系统、动态令牌认证系统、安全电子签章系统、电子文件密码应用系统、可信计算类密码产品等的检测工作,完成了近2000款产品的密码检测、数百个信息系统的安全性评估。

目前,商用密码领域已有1家专门认证机构。与此同时,有关部门通过建立跨领域、跨行业的网络关键设备和网络安全专用产品、信息安全产品和密码应用系统密码检测认证机制,加强与金融、电力、通信、社保、交通等重点领域、行业的检测与认证技术交流,联合金融领域检测认证机构开展金融系统密码测评和认证,共同推动商用密码检测认证能力提升。

 


 

问:商用密码检测、认证机构应取得什么资质?
答:《密码法》第二十五条规定:商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。
按照“放管服”改革要求,《密码法》将商用密码检测、认证机构资质纳入《认证认可条例》规定的认证认可制度体系中,由市场监管总局(国家认证认可监督管理委员会)会同国家密码管理局进行管理。商用密码检测、认证机构应当分别取得商用密码检测、认证机构资质。商用密码检测、认证机构依照《认证认可条例》等法律法规的规定和商用密码检测认证技术规范、规则开展检测认证活动。将商用密码检测认证制度纳入国家统一的检测认证制度体系,有利于增强商用密码检测认证制度的权威性、统一性。

 


问:商用密码检测、认证机构是否应承担保密义务?

答:在从事商用密码检测、认证活动的过程中,由于工作需要,商用密码检测、认证机构能够深入到所检测认证的商用密码产品、服务及其相关产品生产单位、服务提供单位中去,有可能接触到有关商业秘密乃至国家秘密。
虽然商用密码检测、认证机构知悉国家秘密和商业秘密的途径是合法的,是在依法或依约定进行检测认证活动的过程中获取的,但是如果将这些秘密泄露给他人,就会损害国家安全和利益,或者损害商业秘密权利人的利益。因此,参照《认证认可条例》的规定,《密码法》第二十五条规定:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。